Beheer

Security
FireEye new

FireEye ontkent phishing als ingang voor vergaande hack

Grote hack op overheid VS zou door verdachte inlog zijn ontdekt.

© FireEye
17 december 2020

Grote hack op overheid VS zou door verdachte inlog zijn ontdekt.

De succesvolle, gerichte hackaanvallen op Amerikaanse overheidsinstanties zouden aan het licht zijn gekomen door detectie van een verdachte inlogactie bij securityspecialist FireEye. Een werknemers van dat bedrijf zou in een phishingactie zijn getrapt, zo gaat nu ronder in Amerikaanse overheidskringen. FireEye spreekt dit tegen en stelt dat de oorzaak zit in de gehackte beheersoftware van SolarWinds.

De digitale inbraak bij FireEye, waarbij diens Red Team-tools zijn gestolen, heeft na onderzoek door dat slachtoffer geleid tot de ontdekking van succesvolle hacks bij diverse instellingen van de Amerikaanse overheid. De hack op het cyberbeveiligingsbedrijf was namelijk onderdeel van een brede aanvalscampagne, waarbij buitenlandse hackers maandenlang toegang hadden tot interne systemen van meerdere ministeries, overheidsagentschappen en bedrijven.

Inloggegevens van werknemer

Het door FireEye ingestelde onderzoek zou zijn geïnitieerd na een verdachte inlogactie, meldt nieuwssite Politico. De hackers zouden toegang hebben gekregen tot het netwerk van FireEye door een werknemer te laten inloggen op een neppagina en zo diens inloggegevens buit te maken, zouden vertegenwoordigers van FireEye hebben toevertrouwd aan Amerikaanse parlementariërs.

Deze berichtgeving wordt door FireEye zelf tegengesproken. De inbraak zou niet zijn ontdekt na een verdachte inlogactie, waarvoor de credentials zouden zijn buitgemaakt via phishing, maar nadat de aanvallers een nieuw apparaat voor inloggen wilden registreren. Die toevoeging aan de gehanteerde lijst van vertrouwde devices heeft een alarmmelding gegeven bij FireEye, verklaren leidinggevenden nu.

De daadwerkelijke bron voor de aanval op systemen bij het IT-beveiligingsbedrijf is volgens FireEye de gecompromitteerde beheersoftware van SolarWinds. Het veelgebruikte Orion-pakket van die leverancier is binnen dat bedrijf voorzien van een backdoor. Daarbij is de software voorzien van een valide digitale handtekening zodat de gewijzigde code als legitiem wordt gezien. Daarna is deze 'voorgehackte' beheersoftware via updates verspreid onder klanten.

Multi-factor authenticatie

"We hebben het incident aanvankelijk gedetecteerd omdat we een verdachte authenticatie zagen op onze VPN-oplossing", verklaart topman Charles Carmakal tegenover Politico. "De aanvaller was in staat om een device in te schrijven op onze multi-factorauthenticatie-oplossing, en dat veroorzaakte een alarm waar we opvolging aan gaven", aldus de CTO van FireEye's Mandiant-tak voor incident response.

Een woordvoerder van FireEye heeft nog expliciet verklaard dat de oorzaak van de inbraak bij de cybersecurityfirma níet een succesvolle phishingaanval op een werknemer was. Daarbij wordt ook ontkend dat dit zou zijn verteld aan parlementariërs, wat bronnen van Politico wel beweren. Het is niet bekend hoe lang het heeft geduurd voordat het gehackte beveiligingsbedrijf doorhad dat het zelf slachtoffer is geworden van waar het voor waarschuwt, tegen behoedt en na incidenten mee helpt.

Grote, lopende aanval

De cyberaanval op de Amerikaanse overheidsnetwerken is "aanzienlijk en lopend", lieten de federale politiedienst FBI, de cyberbeveiligingsdienst CISA en de nationale inlichtingenchef woensdag weten in een gezamenlijke verklaring. De FBI stelt druk bezig te zijn met onderzoek om de hackers te identificeren, op te sporen en om hun activiteiten te verstoren.

Amerikaanse media hebben de afgelopen dagen gemeld dat onder meer de ministeries van Handel, Financiën, Binnenlandse Veiligheid, Buitenlandse Zaken en Defensie zijn getroffen. Daarnaast zouden de hackers ook succesvol hebben ingebroken in het netwerk van de Nationale Gezondheidsinstituten (NIH). Het ministerie van Buitenlandse Zaken van de VS weigerde maandag commentaar te geven. Ook de NIH gaf geen commentaar. Het Pentagon liet woensdag weten dat het "geen bewijs" heeft dat de netwerken van het ministerie van Defensie zijn gecompromitteerd.

Lees meer over Beheer OP AG Intelligence
1
Reacties
Pietertje 17 december 2020 12:26

Dat is weeral een goede les: de overheden moeten vooral overal backdoors installeren want dat komt nooit iemand te weten. Tenzij men z'n laptop in de trein vergeet of een usb stick laat rondslingeren of zoals blijkbaar hier het geval was, de inlog gegevens van de ftp server op github laten staan. En laten we zeker ook allemaal dezelfde beheerssoftware gebruiken zodat 1 minieme toegang direct duizenden systemen kan infecteren. Dat probeer ik ook regelmatig aan te halen voor alle aws, google, microsoft cloud apps: super systemen maar vroeg of laat gaan ze down. Niet "if", gewoon "when".

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.